Pereiti prie turinio

ddos ar kažkas panašaus?


Rekomenduojami pranešimai

Sveiki,

 

mano serveris hostexe staiga pradėjo strigti ir iš kart kilo įtarimas, kad tai galėtų būti ddos ataka, bet apie jas nieko neišmanau. Todėl ir viliuosi sulaukti pagalbos čia.

 

Operacinė sistema CentOS,

 

keletas komandų ir jų rezultatai:

 

 

netstat -n | grep :80 | grep SYN |wc -l              
Rezultatas:                  36                          // čia kaip suprantu yra viskas gerai

 

netstat -n | grep :80 |wc -l                             	
 Rezultatas:                  1345                      // kaip suprantu tai jau yra perdaug (skaičiau, kad jei yra virš 500 tai jau kažkas blogai)

 

netstat -an | grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' | sort | uniq -c              

rezultatas:  

	31 	78.62.xx.xx
	19 	78.63.xx.xx
	14 	78.63.xx.xx
	12 	79.102.xx.xx
     6 	79.160.xx.xx
	28 	79.97.xx.xx
     7 	80.212.xx.xx
     6 	80.5.xx.xx
	11 	82.22.xx.xx
     2	82.46.xx.xx
	12 	91.232.xx.xx
  1611 	92.61.xx.xx
					// čia yra mano supratimu rodoma kiek iš vieno ip yra sulaukiama prisijungimu vienu metu prie serverio,  
(1611 	92.61.xx.xx) problematiškas yra šis IP nes yra daugiau nei 1000 prisijungimų. Galėčiau jį tiesiog užblokuoti,
bet problema ta, kad tai mano pačio VPS IP. Ar gali būti čia koks nors bugas ar pan? Ar čia taip ir turi būti?

Nuoroda į pranešimą
Dalintis kituose puslapiuose

iftop ( ddoseriai ar doseriai kartais daugiau srauto n audoja )

tcpdump -nn ( realiu laiku paketus rodo, doseriai ar ddoseriai tikrai juos siuncia dazniau nei kiti ir daznai ju dydziai buna vienodi, keisti arba proporcingai keiciasi keli i virsu keli i apacia, buna echo tipo na ir t.t. tik, buna sudetingiau kai tu paketu geru isties daug )

 

tcpdump -nn port 80 ( jeigu nori monitorinti tik 80 porta )

 

 

susirandi ip adresa kuris nepatinka ir iptables draudima jam.

Redagavo vpsnetlt
Nuoroda į pranešimą
Dalintis kituose puslapiuose

Gali cron'ą užstatyti kas 5-10 min su šituo:

 

netstat -nt|awk ‘{print $5}’|cut -d’:’ -f1|sort|uniq -c|sort -rn|head|awk ‘{if ($1>50) system(“iptables -I INPUT -s “$2″ -j DROP;”)}’

 

Nieko įspūdingo, bet blokuos ip adresus, kurie yra sudarę daugiau kaip 50 lygiagrečių sujungimų su serveriu.

Nuoroda į pranešimą
Dalintis kituose puslapiuose

Pigiausias būdas yra naudoti "route" komandą, ji sunaudos mažiau resursų nei iptables, bet nesu tikras kokia ji didelė (lentelė) gali būti.

 

"route add xx.xx.xxx.xx gw 127.0.0.1 lo" , kur xx.xx.xxx.xx blogas IP.

"route -n" parodo routingo lenteles.

Redagavo Augustinas
Nuoroda į pranešimą
Dalintis kituose puslapiuose

ddos atakai uzklausu skaicius per mazas :) Serverio restarta padaryk pilnai tikiu kad pades :) arba ziurek kur kokio connection stringo neuzdarei ir mysql kemsasi :)

 

Tai greičiausiai ne ddos nes juk aš pats savęs pulti negaliu ir kaip Jūs sakėte, kad per mažas skaičius. Tik vat problema, kad restartavus serverį per kelias sekundes vėl išauga šis skaičius iki 1000 su viršum. Tai kaip suprantu čia jau reikia žiūrėti pačioje svetainėje ar nėra klaidų? Čia jau su serveriu nėra susiję?

 

Aukšiau aprašyti iptables reiktų ir jokių problemų nebūtų kad ir uždėtų draudimą:)

 

 

Aš dar prieš čia prašant bandžiau pusę valandos su iptables blokuoti šitą IP adresą, bet niekaip neįšėjo. Tada išsiaiškinau, kad tai mano paties adresas. O kažin ar nebūtų galima kaip nors mažinti šį skaičių nepakenkiant svetainės darbui, nes kaip suprantu jis apkrauna serverį.

Redagavo DziugasP.
Nuoroda į pranešimą
Dalintis kituose puslapiuose

Prisijunkite prie diskusijos

Jūs galite rašyti dabar, o registruotis vėliau. Jeigu turite paskyrą, prisijunkite dabar, kad rašytumėte iš savo paskyros.

Svečias
Parašykite atsakymą...

×   Įdėta kaip raiškusis tekstas.   Atkurti formatavimą

  Only 75 emoji are allowed.

×   Nuorodos turinys įdėtas automatiškai.   Rodyti kaip įprastą nuorodą

×   Jūsų anksčiau įrašytas turinys buvo atkurtas.   Išvalyti redaktorių

×   You cannot paste images directly. Upload or insert images from URL.

Įkraunama...
  • Dabar naršo   0 narių

    Nei vienas registruotas narys šiuo metu nežiūri šio puslapio.

  • Prisijunk prie bendruomenės dabar!

    Uždarbis.lt nariai domisi verslo, IT ir asmeninio tobulėjimo temomis, kartu sprendžia problemas, dalinasi žiniomis ir idėjomis, sutinka būsimus verslo partnerius ir dalyvauja gyvuose susitikimuose.

    Užsiregistruok dabar ir galėsi:

    ✔️ Dalyvauti diskusijose;

    ✔️ Kurti naujas temas;

    ✔️ Rašyti atsakymus;

    ✔️ Vertinti kitų žmonių pranešimus;

    ✔️ Susisiekti su bet kuriuo nariu asmeniškai;

    ✔️ Naudotis tamsia dizaino versija;

    ir dar daugiau.

    Registracija trunka ~30 sek. ir yra visiškai nemokama.

  • Naujausios temos

  • Karštos temos

×
×
  • Sukurti naują...